Top.Mail.Ru

Цифровая безопасность

Защита информации это одна из ключевых потребностей компании. Как бизнесу обеспечить безопасность критических данных и процессов?
Александр ГрищенковПродакшн Директор
Дата20 сентября 2022
Оправить заявку на аудит цифровой безопасности

Политическая ситуация, блокировка и уход многих сервисов, которые, как казалось, будут доступны вечно, сильно встревожили, уже доставили хлопот и заставляют задуматься о рисках и технологическом суверенитете уже собственного бизнеса. Не претендуя на глубокий экспертный анализ, поскольку более-менее крупные компании уже могут позволить себе команду специалистов, предлагаю быстро пройти «по верхам» уязвимости типичных цифровых активов микро- и малого бизнеса.

Сайт

Веб-сайт, даже если он создан на конструкторе (например популярной «Тильде»), состоит из нескольких компонентов инфраструктуры, которые нужно проверить отдельно.

Домен — это собственно имя вашего сайта, по которому его можно найти в Интернет вида example.com. Если случилось так, что его имя зарегистрировано за пределами РФ, достаточно оперативно нужно начать процесс переноса к российским регистраторам доменных имён (nic.ru, reg.ru etc.). Процесс это небыстрый, а проблемы с оплатой или блокировкой аккаунта иностранным регистратором могут быть неожиданными. Обычно, домен оплачивают на год и даже более и забывают. Эта ситуация даже в мирное время чревата проблемами, через пять лет найти кто-куда платил и где доступы становится нетривиальной задачей.

Хостинг. Как ни удивительно, хостинг (то есть сервер на котором расположен сайт) не имеет никакого отношения к домену, да конечно многие регистраторы продают заодно и хостинг, а многие хостеры торгуют по партнёрке и доменами, но это отдельный сервис и нужно убедиться, что он также расположен в РФ, если только вы не намеренно разместили его за пределами РФ (например поближе к вашим клиентам), в этом случае, советуем убедиться, что у вас корректно настроено резервное копирование данных (бекапы), о котором чуть позже.

Сайт на конструкторе. Часто сайт, а ещё чаще лендинг или посадочная страница сделаны на конструкторе, который удобно совмещает в себе и систему управления контентом, и хостинг, и управление доменом. Если сайт сделан на популярной в России «Тильде», то пока беспокоиться не будем, в оферте указан ИП Никита Обухов, сервера находятся в РФ, юрисдикцией сервиса тоже является РФ, надеемся, что так оно и останется. Но если ваш сайт или лендинг использует зарубежный конструктор (Wix, Squarespace, Shopify), то вы рискуете, причём не только в случае блокировки со стороны самих платформ, но и например в случае блокировки инфраструктуры, которую они используют, например многие сервисы используют серверные решения от AWS от Amazon или CloudFlare для обеспечения безопасности. В случае проблем с этими сервисами, существует угроза и для вашего сайта. Поэтому, мой вам совет: подумайте о переносе сайта в домашний регион, что, с помощью специалиста, вполне выполнимая вещь.

Почта — Очень важный сервис, который нужно проверить. Это ещё одна сущность, которая хоть и связана с доменом, но является самостоятельным сервисом. Если вы, как многие (в том числе и мы в Molinos) настроили Яндекс Почту для своего домена, то пока волноваться не о чем (хотя новые домены в Яндексе уже только за деньги), так же всё в порядке, если у вас есть собственный почтовый сервер в юрисдикции РФ. Но если для вашего домена настроен почтовик от Google или от другого иностранного сервиса, то есть риск и нужно принимать меры.

Файлы в облаках Dropbox, Google Disk, OneDrive (Microsoft) — это всё кандидаты на замену. Неплохих альтернатив у нас много, основные это конечно Яндекс.Диск и Облако (Mail.ru). Если только вы не настроили хитрых интеграций и автоматизаций, то немного привыкнув разницы вы не заметите.

Конечно самое трудное — это отказаться от Google Docs, альтернатива Яндекс.Документы, к сожалению, нам совсем не приглянулась. Поэтому я советую продолжать пользоваться документами, но обязательно периодически делать бекапы, как на личном уровне, так и на уровне организации.

Александр Грищенков CTO, Molinos

Сделайте это прямо сейчас:

Скачайте себе на локальный диск данные своего Гугл-аккаунта. Инструкция от Google тут: https://support.google.com/accounts/answer/3024190?hl=ru

Вы сможете выбрать, какие именно данные скачивать. Я выбрал себе содержание Google Drive и почты Gmail, у меня в личном аккаунте в совокупности получилось 6 ГБ архивов, пусть лежат. Документы и таблицы скачиваются в формате документов Майкрософт, так что с редактированием проблем не будет.

Бекапы (резервные копии)

Обязательным процессом в компании должна быть проверка рутин резервного копирования, отсутствие копий может сильно ударить не только в случае блокировок, но и в случае аварий и сбоев. Поэтому, в отношении всего выше перечисленного, что можете сделайте сами (как в случае с Google документами), а для чего не сможете, обратитесь к специалистам, даже сайт на конструкторе можно скопировать себе на диск или хранилище в формате html, на случай отказа сервиса (что тоже вполне себе возможно, никто не гарантирует 100% надёжности).

Пароли

Стратегия хранения паролей — одна из самых чувствительных тем инфобезопасности бизнеса, к сожалению часто это самое слабое место через которое происходят утечки. Связанно это с тем, что тут наиболее тесно пересекается личная и корпоративная цифровая гигиена, а освоение базовых навыков работы с инструментами требует некоторых усилий пользователя. Решения по хранению паролей (исключая метод записи на стикере на рабочем столе), можно разделить на три вида:

  • Встроенные в операционные системы и браузеры менеджеры паролей (например Apple Keychain или Google Password Manager)
  • Специализированные сервисы для хранения паролей с облачной архитектурой (1password, Bitwarden)
  • Решения позволяющие развернуть приложение на собственном сервере для совместной работы и работать через плагины в браузере (например Passbolt).

С точки зрения безопасности, для бизнеса предпочтителен последний вариант, он же является самым сложным — потребуется квалифицированный человек для установки и поддержки серверного решения и помощи по внедрению его у пользователей. Все остальные варианты, к сожалению, в текущей ситуации выглядят ненадёжными — какой бы фантастической не казалось мысль об отключении Apple аккаунтов, вероятность сейчас отлична от нуля, что в свете возможного ущерба уже много. Компромиссным решением для себя лично, я выбрал Bitwarden, который в отличие от 1password, продолжает работать для пользователей из России и является Open Source проектом, что даёт надежду, что даже в худшем случае у разработчиков будет возможность сделать т.н. форк и продолжить работу.

Оцените, кстати, степень «надёжности» облачных решений, на примере 1password — сервис просто отказался работать с пользователями из РФ, делайте выводы.

Корпоративно мы используем Passbolt на собственном сервере, что решает проблему блокировок.

VPN

Последний в нашем списке пункт VPN позволит пока получить доступ к ресурсам заблокированным как изнутри, так и извне. Да, да, многие сервисы любезно сообщают, что для пользователей из России они больше не доступны. Если всё же есть острая потребность ими пользоваться, то VPN должен в этом помочь.

Нужно понимать, что VPN это по сути ваша персональная тропинка напрямую к серверу где-то вне РФ, через который вы получаете доступ к сети Интернет. Т.е. если вы хотите выглядеть как немецкий пользователь сервер физически должен находиться в Германии. Многие популярные сервисы VPN (напр. NordVPN) предоставляют возможность выбрать страну, через которую пойдёт трафик, но бывают случаи, когда этого не достаточно, например мы столкнулись с необходимостью иметь статический IP адрес для некоторых задач, чего тот же NordVPN предоставить не может. В этом случае хорошим и дешёвым решением будет аренда виртуальной машины в каком-то облаке (например Digital Ocean) и разворачивании там VPN сервиса, стоимость аренды минимальной конфигурации на Digital Ocean — $5, плюс какие-то усилия администратора по разворачиванию сервера.

Обратиться к экспертам Molinos
Александр ГрищенковCTO, Molinos
Александр ГрищенковCTO, Molinos

Безусловно, цифровая безопасность бизнеса - первоочередной вопрос, но вы не должны разбираться в нем сами. При необходимости, по всем перечисленным вопросам, мы в Molinos сможем вам помочь в рамках услуги Техническая Поддержка бизнеса.

Ваше имя
Ваш телефон
Ваш e-mail
Отправляя свои данные, вы соглашаетесь на обработку персональных данных в соответствии с Политикой конфиденциальности.
Интересное из мира Digital

Свежие статьи из мира Digital

9 минут на прочтение
«Где деньги, Лебовски?», или как провести аудит контекстной рекламы и понять, что не так: чек-лист
Как провести действительно качественный анализ своей рекламы и эффективнее расходовать бюджет.
Middle performance специалист
8 минут на прочтение
Растим сильные кадры внутри: как составить индивидуальный план развития сотрудника
Пока работодатели борются за кандидатов, мы сами создаем сильных специалистов внутри компании. Как? Рассказываю в статье.
Исполнительный директор
4 минуты на прочтение
Как правильно написать вакансию: 5 приемов от HR-специалиста
Как получить много целевых откликов и быстрее закрыть вакансию? 5 советов от нашего HR.
Начальник отдела кадров
10 минут на прочтение
Как писать кликабельные заголовки и сниппеты для сайта
Целых 7 способов получить заветный клик.
Middle SEO специалист
10 минут на прочтение
Новый канал продвижения товаров для дома: обзор «Лемана ПРО»
Кому подойдет, преимущества и форматы новой рекламной площадки.
E-commerce producer Molinos
28 минут на прочтение
Как создать воронку продаж в социальных сетях за 6 шагов
Настраиваем SMM на продающий лад
Инфлюенс-маркетолог SMM
10 минут на прочтение
Брендформанс-маркетинг: как совместить узнаваемость и продажи в одной стратегии
Почему все больше рекламодателей выбирают брендформанс-подход в рекламе? Рассказываем, в чем прелесть этой стратегии.
Трафик менеджер
10 минут на прочтение
Продвижение недвижимости: как добраться до покупателя с помощью маркетплейсов
Только Директа и VK уже недостаточно :(
E-commerce producer Molinos
13 минут на прочтение
Как провести технический аудит сайта: чек-лист от SEO-специалиста
Чтобы сайт работал, как часы.
SEO-специалист
14 минут на прочтение
Медицинский маркетинг: как еще продвигать клиники, кроме контекстной рекламы?
Спойлер: на маркетплейсах можно продвигать не только товары.
E-commerce producer Molinos
Редактор Molinos